npm软件包遭恶意代码注入,Scam Sniffer披露安全风险及应对建议
Scam Sniffer于9月9日披露,知名开发者qix的npm软件包chalk、strip-ansi及color-convert因钓鱼攻击被注入恶意代码,攻击手段涉及挂钩钱包功能、篡改ETH/SOL交易收款地址及替换网络响应中的地址。受影响软件包下载量超10亿次,可能导致JavaScript生态系统面临风险。恶意代码可在交易时自动替换加密地址窃取资金。用户安全建议包括:核对钱包界面收款人及金额、检查粘贴后地址变动、复查近期交易记录、高价值操作优先使用硬件钱包。Ledger CTO Charles Guillemet指出,硬件钱包用户可通过核查交易签名规避风险,非硬件钱包用户应暂缓链上操作,目前尚无证据表明助记词已被窃取。